Très attendu, le règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après dénommé RGPD) a été adopté le 27 avril 2016. Remplaçant la directive 95/46/CE concernant la protection des données dans l’Union européenne, il sera directement applicable sur l’ensemble du territoire de l’Union européenne à partir du 25 mai 2018. Les établissements disposeront alors de deux ans pour organiser la transition.
Le texte fixe désormais une définition des données de santé. Il s’agit de « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Il définit également les données génétiques, relatives « aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question ».
En conformité avec la loi Informatique et Libertés, le traitement des données de santé est, d’après l’article 9 du RGPD, autorisé s’il « est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3 ».
Les États membres disposent toutefois d’une marge d’appréciation de la notion et des modalités complémentaires en matière de contrôle en cas de traitement de données de santé, ce qui tempère l’harmonisation souhaitée par l’Union européenne (art. 9, alinéa 4).
Les principes posés par la loi Informatique et Libertés n’en demeurent pas moins maintenus : proportionnalité des données collectées par rapport à la finalité du traitement, loyauté de la collecte, droit d’opposition des personnes concernées, interdiction de principe de la collecte de données sensibles.
Responsabilisation accrue des établissements
Le concept nouveau de « Privacy by design » introduit par le RGPD impose aux établissements de mettre en oeuvre des mesures techniques et organisationnelles appropriées aux enjeux et aux droits des personnes dont les données sont traitées dès la détermination des moyens du traitement, puis pendant le traitement.
Concrètement, les spécifications mêmes des applications qui traitent les données et leurs procédures d’exploitation devront prendre en compte les règles de protection des données personnelles édictées par le RGPD. Non seulement cette documentation devra être élaborée, mais elle sera mise à la disposition de la Cnil en cas de contrôle.
C’est ainsi que chaque responsable de traitement devra mettre en place un « registre des activités de traitement » comportant un certain nombre d’informations sur les traitements mis en place. Avant la mise en oeuvre de traitements recourant à de « nouvelles technologies » et susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, les responsables de traitement devront également effectuer une analyse d’impact. Les autorités de contrôle devront publier une liste des types de traitement pour lesquels une telle analyse d’impact est requise, et le RGPD précise les actions à diligenter dans le cadre d’une telle analyse.
Le « délégué à la protection des données » (DPO) est le correspondant Informatique et Libertés (CIL) de demain. La désignation d’un tel délégué à la protection des données est obligatoire lorsque le responsable de traitement est un organisme public, lorsque l’activité du responsable de traitement ou du sous-traitant « exige un suivi régulier et systématique à grande échelle des personnes concernées », ou encore lorsque l’activité du responsable de traitement ou du sous-traitant consiste en un « traitement à grande échelle » de données particulières telles que des données de santé, sur l’opinion politique ou religieuse, sur l’orientation sexuelle, etc.
Jusqu’ici, en France, les acteurs de santé avaient le choix de désigner ou non un CIL. L’arrivée du DPO responsabilise, davantage, et à n’en pas douter, les établissements de santé, collecteurs de données sensibles.
L’auteur
Me Omar YAHIA
SELARL YAHIA Avocats
Barreau de Paris